Présentation

Pfsense est un pare-feu gratuit et open source tournant sous un linux. Un pare-feu permet de filtrer les requêtes à partir des numéros de port ou d’adresse IP
On télécharge L’ISO de Pfsense sur le site officiel : https://www.pfsense.org/download/

Contexte

Installation

L’installation est intuitif, il nous est demandé la langue de saisie mais au final ça sera en qwerty, on le laisse donc de base et nous laissons pfsense gérer le partionnage.
Il nous indique que l’installation est finis et nous propose de démarrer.

Configuration en ligne de commande.

Nous somme pour le début obliger d’utiliser les lignes de commande pour la configuration, après avoir tout bien démarrer , il nous demande si nous voulons créer des vlan, nous répond non.
Il nous demande d’attribuer nos carte réseau à nos interface. Les cartes sont nommé hn0,hn1 et hn2. Je vais les attribuer dans cette ordre à savoir hn0 en Wan, hn1 en Lan et hn2 en optionnel.

Une fois finis , nous arrivons à ce menu où nous allons attribuer l’adresse IP de notre carte Lan

Nous attribuions une adresse IP à notre interface Lan pour pouvoir ensuite prendre la main sur l’interface web et finir la configuration.

Nous pouvons accéder à notre interface web à partir de l’adresse 172.18.3.1

Le temps de la configuration , il nous faut une machine dans le réseau Lan ( qui est dans notre contexte le vlan admin)

Configuration en interface web.

Nous ouvrons un navigateur et saisissons l’adresse de notre pfsense. Les logins par défaut sont admin:pfsense .

Dès la connexion, il nous propose de faire le wizzard , qui permettra de configurer une bonne partie du pare-feu , comme par exemple l’adresse ip Wan,le fuseau horaire,changer le mots de passe , saisir un serveur DNS pour la résolution etc.

Nous allons créer une passerelle et une route pour rejoindre notre réseau serveur.

Nous allons dans system > routing > gateways > add.
Notre routeur est adressé en 172.18.3.6 dans ce réseau
Nous allons dans system > routing > static routes > add.
Nous ajoutons notre route avec la passerelle créé précédemment.

Création de règles de filtrage.

Nous allons tous d’abord retirer sur l’interface Wan la règles qui interdit de recevoir des paquets de réseaux privé. Dans mon contexte ma Wan est adressé dans un réseaux privé.

Nous allons créer deux règles dans la partie Lan, ayant dans mon centre de formation un proxy qui est le seul à pouvoir faire du Web et DNS,
– je vais créer une règles qui autorise mon proxy et uniquement lui à communiquer avec le proxy de mon centre.
– Et une autre règles pour autorisé mon serveur DNS et uniquement lui à communiquer avec le serveur DNS de mon centre pour les requêtes externe.

nous allons dans Firewall > Rules > Lan > add
L’action est pass , le protocole TCP/UDP , en source on indique l’adresse de mon proxy et en destination l’adresse du proxy de mon centre avec son port 8080
Même chose ici , sauf que j’indique en source mon serveur DNSavec le port 53 et en destination le serveur DNSde mon centre avec aussi le port 53

Nous avons aussi créé une règles autorisant l’ICMP , très utiles pour faire des test réseaux avec les commande « tracert » et « ping« .
Nous avons activé les logs sur les règles ICMP et DNS. Nous allons testé tous cela sur un client Windows 7 adressé en 172.18.3.4.

Nous avons fait une résolution de nom de l’adresse www.google.fr
Allons regarder dans les logs
Nous voyons passer la résolution de nom dans nos logs et est autorisé.

Nous avons vu l’installation de pfsense , la configuration au minimum et la mise en place de règles de pare-feu.